Vlastní DNS a konfigurace předávání subdomény

[zahradnik]

Ahoj,
třetí den hledám, googlím, ale asi blbě. Tak se chci poradit a trochu nakoupnout ohledně těchto krabiček.

Situace
veřejná IP - na ní nastavená doména neco.cz
mikrotik - brána
DNS nas synology 192.168.1.30 (nas.neco.cz)
server1 192.168.1.31:5000 (server.neco.cz)
server2 192.168.1.32:5000 (server.neco.cz)

nastavení
nastavení v mikrotiku maškarády jak wan, tak loopback
nastavení dns záznamů v synology
nastavení DNS do synology - ve vnitřní síti překlad funguje
nastaven DNS port v nat MK - dst-address "veřejná IP" protocol tcp / udp port 53 action dst-nat 192.168.1.30 port 53

dotaz:
1) jak donutit MK, aby pokousal dotaz z venčí na server1.neco.cz, poslal ho do DNS, dostal odpověď a správně nasměrova na 192.168.1.31?
2) nasměrování portu na server2 - chci přistupovat přes adresu server.neco.cz a rád bych věděl, jak naučit mk, aby směroval na 192.168.1.32:5000

Díky za odpověď

[Beny44]

Proč máš DNS na Synology? Web proxy jde přeci i na Mikrotiku, takto to mám i já nastaveno. Jedna veřejná a dva web servery uvnitř sítě.
http://wiki.mikrotik.com/wiki/Multiple_Web_Servers

[zahradnik]

Děkuji za odpověď. I toto řešení jsem zkoušel a fungovalo. Ovšem dělat z MK dns na který není stavěný a když mám možnost DNS na synology, přišlo mi to jako lepší řešení.
Když použiji nastavení, který si mi poslal, jde nastavit na MK i porty? Viz bod 2.
Děkuji za pomoc

[Beny44]

Pokud to dobře chápu máš dva nasy Synology a chceš na ně přistupovat z venku na portu 5000?
Ano jde udělat NAT tak, aby jsi z venku pokud zadaš http://veřejnáadresa:5000 dostal do Synology uvnitř sítě.
Stejně, jako když si na Synology pustíš web server, dostaneš se přes veřejnou na něj.

[zahradnik]

NATování portů v pohodě. Špatně jsem popsal problém.
Doména 3. řádu nas.verejnaip.cz přesměrovat na 192.168.1.31:5000
Nas2.verejnaip.cz přesměrovat na 192.168.1.32:8080

[Beny44]

Já nejsem žádnej odborník, ale web proxy jde pustit snad jen na jednom portu. Aspoň u mne to tak mám. Takže nevím, jak to pak poslat na dva porty. Říkam nejsme žádnej odborník, spíše pokus - omyl.

A jsou potřeba mít ty domény v takovém to formátu? Nestačlo by to jen překlopit veřejná:5000 na vnitřní xxx.xxx.xxx.xxx:5000 a veřejná 8080 na xxx.xxx.xxx.xxx:8080?

[ludvik]

NAT je součástí netfilter subsystému. A to je paketový filtr. Neví naprosto nic o doménách. Pokud se ti bude lišit překlad těch názvů v IP adresách, tak to uděláš. Jinak ne.

S reverzní proxy zkušenosti nemám. Ale to asi nemáš kde pustit.

[zahradnik]

Díky za odpověď. O doménách toho opravdu moc nevím, proto se ptám, jak to funguje. Moc sem toho, co se týče mikrotik / dns nenašel. U nas je několik portů s web serverem např. 80 web
5000 web - admin rozhraní
Záměr jestli vůbec lze udělat web.neco.cz přesměrovat na 80
Admin.neco.cz na port 5000

[Beny44]

Pokud to tedy chápu dobře chceš na jednu Synology přistupovat jen jako admin na 5000 a na druhé máš puštěný web na 8080?
Pokud ano nepotřebuješ žádnou proxy, stačí jen NAT a překlopit vždy porty na příslušnou vnitřní IP. Pokud nemáš koupenou doménu stačí ti i veřejná ip, aby to jelo.

[ludvik]

Ano. Lze přesměrovávat. Ale pokud máš jen jednu IP adresu (což veřejnou máš), musíš to odlišit právě portem. Tedy jedno synology na 80, druhé třeba na 81. Kdyby šlo použít v NAT doménové jméno, tak to tam mikrotik nabízí

Něco jiného jsou proxy servery, nebo webové servery. Ty rozumí i tomu, co je "zabalené" pod tou IP adresou a portem. Tedy při pokusu o připojení jsou schopny reagovat i na doménové jméno. Proto mohou existovat webhostingy, co mají na jednom serveru s jednou IP spoustu webů.

Jenže ty máš dvě různé krabičky. Takže tu proxy musíš pustit někde před nimi. Tedy na mikrotiku. Pak se nepřipojuješ přímo na synology, ale na mikrotik (tedy ty doménová jména mají stejnou IP - toho mikrotiku) a ten rozhodne, co s tím požadavkem dál. Tak jako je to na tom příkladu, co sem dával někdo už dřív.

[mirek.k]

1. Na DNS serveru domény musí existovat záznamy k požadovaným položkám třetího řádu, které musí odkazovat na veřejnou adresu systému.
2. Pak je nejjednodužší v IP - FireWall > NAT udělat port forwarding příslušných portů na příslušné vnitřní IP adresy.
Veřejnou IP adresu až dovnitř bych neřešil z důvodu bezpečnosti.
Je lepší být schovaný za překladem.
Mirek

[Beny44]

Můj vlastní stav:

1. Měl jsem jen jeden web server v lokálu na Synology - stačil NAT na obyčejném routeru z veřejné IP adresy - překlad jak na 80 port, tak i na 5000, jako admin.
2. Mám dva web servery v lokálu, ale stále jen jednu veřejnou ip adresu. Vlastním, ale dvě domény. U obou mám u registrátora stejnou veřejnou IP zanešenou v DNS. NA Mikrotiku mám puštěnou web proxy, v statickou DNS mám www.neco.cz na jednu lokální a www.neco2.cz na druhou lokální ip s web servrem. NAT mám jen překlopený port 5000 na Synology pro admina.

[zahradnik]

zkusím sem dát obrázek, jak je to zapojené. V DNS serveru záznamy mám na lokální server. Tzn - když dám neco.domena.cz v síti, funguje. Když přistupuji z venku, narazím na MK.
Nevím, co je na tom pravdy, ale na DNS serveru nejdou zadávat IP s portem - asi mají pravdu.
http://files.zahradnikbrno.cz/dns.jpg

[mirek.k]

zkusím sem dát obrázek, jak je to zapojené. V DNS serveru záznamy mám na lokální server. Tzn - když dám neco.domena.cz v síti, funguje. Když přistupuji z venku, narazím na MK.
Nevím, co je na tom pravdy, ale na DNS serveru nejdou zadávat IP s portem - asi mají pravdu.
http://files.zahradnikbrno.cz/dns.jpg

Tak jste si sám objevil problém.
V DNS nemá co dělat lokální, ale veřejná adresa.
A porty tam skutečně nemají místo. Je to prostá tabulka doménové jméno > IP adresa.
Mirek

[zahradnik]

Mirku, teď sem z toho fakt jelen a díky za trpělivost. U registrátora mám registrovanou doménu xxx.pro a nastaveno *.xxx.pro na veřejná IP

Posílám screen nastavení DNSka
http://files.zahradnikbrno.cz/dns2.jpg